日志外发配置手册
天融信网络\数据库审计系统提供审计日志、系统日志、报警日志的 syslog、SNMP 和邮
件外发功能。
审计日志、系统日志、报警日志可通过 syslog、SNMP 方式外发到第三方日志管理服务
器,由第三方日志管理服务器接收。
理论上审计日志、系统日志、报警日志都可以通过邮件发送给管理员邮箱,但是审计日
志和系统日志的数据量太大,且没有必要邮件通知,建议仅对报警日志进行配置邮件外发。
本文仅对报警日志的邮件外发配置进行说明。
审计日志外发配置
1. SYSLOG 外发配置
1) 开启 SYSLOG 外发插件
菜单:【安全审计】-【审计策略】-【事件处理中心】
在右侧找到“SYSLOG 外发插件”(老版本为 tusout),将 SYSLOG 外发插件(老版本为 tusout)
开关打开(蓝色竖线为开启状态),并点击左上方应用按钮。
2) 调整 SYSLOG 外发插件订阅关系
点击左侧“插件列表”中“SYSLOG 外发插件” (老版本为 tusout)的“事件订阅配置”,
如果右侧显示的是 alarm 则无需更改,如果不是 alarm,则删除原有配置后添加 alarm,再点
击右下角的保存并应用。
3) 配置 SYSLOG 外发插件
点击“SYSLOG 外发插件” (老版本为 tusout)的“SYSLOG 外发插件私有属性配置”,
传输协议默认选用 UDP,端口号(一般默认 514),更改 IP 为第三方日志服务器 IP,根据现场
环境配置,过滤器选择 allow,点击右下角保存并应用。
4) 测试 SYSLOG 外发
产生新的审计日志,在日志管理服务器上用 syslog 接收工具查看日志管理服务器接收到
的审计日志信息,如下图所示:
2. SNMP 外发配置
1) 开启 SNMP 外发插件
菜单:【安全审计】-【审计策略】-【事件处理中心】
在右侧找到“SNMP 外发插件”(老版本为 snmpout),将 SNMP 外发插件(老版本为 snmpout)
开关打开(蓝色竖线为开启状态),并点击左上方应用按钮。
2) 调整 SNMP 外发插件订阅关系
点击左侧“插件列表”中“SNMP 外发插件” (老版本为 snmpout)的“事件订阅配
置”,如果右侧显示的是 alarm 则无需更改,如果不是 alarm,则删除原有配置后添加 alarm,
再点击右下角的保存并应用。
3) 配置 SNMP 外发插件
点击“SNMP 外发插件” (老版本为 snmpout)的“SNMP 外发插件私有属性配置”,
传输协议默认选用 UDP,端口号(一般默认 162),SNMP 协议通讯字符串默认为 public,根据
现场环境配置,过滤器选择 allow,更改 IP 为第三方日志服务器 IP,点击右下角保存并应用。
4) 测试 SNMP 外发
产生新的审计日志,在日志管理服务器上用 SNMP 接收工具接收审计设备发送过来的
SNMP 的审计日志信息,如下图所示
系统日志外发配置
1. SYSLOG 外发配置
1) 开启 SYSLOG 外发插件
菜单:【安全审计】-【系统日志管理】-【系统日志事件处理中心】
在右侧找到“SYSLOG 外发插件”(老版本为 tusout),将 SYSLOG 外发插件(老版本为 tusout)
开关打开(蓝色竖线为开启状态),并点击左上方应用按钮。
2) 调整 SYSLOG 外发插件订阅关系
点击左侧“插件列表”中“SYSLOG 外发插件” (老版本为 tusout)的“事件订阅配置”,
如果右侧显示的是 alarm 则无需更改,如果不是 alarm,则删除原有配置后添加 alarm,再点
击右下角的保存并应用。
3) 配置 SYSLOG 外发插件
点击“SYSLOG 外发插件” (老版本为 tusout)的“SYSLOG 外发插件私有属性配置”,
传输协议默认选用 UDP,端口号(一般默认 514),更改 IP 为第三方日志服务器 IP,根据现场
环境配置,过滤器选择 allow,点击右下角保存并应用。
4) 测试 SYSLOG 外发
产生新的审计日志,在日志管理服务器上用 syslog 接收工具查看日志管理服务器接收到
的审计日志信息,如下图所示:
2. SNMP 外发配置
5) 开启 SNMP 外发插件
菜单:【安全审计】-【系统日志管理】-【系统日志事件处理中心】
在右侧找到“SNMP 外发插件”(老版本为 snmpout),将 SNMP 外发插件(老版本为 snmpout)
开关打开(蓝色竖线为开启状态),并点击左上方应用按钮。
6) 调整 SNMP 外发插件订阅关系
点击左侧“插件列表”中“SNMP 外发插件” (老版本为 snmpout)的“事件订阅配
置”,如果右侧显示的是 alarm 则无需更改,如果不是 alarm,则删除原有配置后添加 alarm,
再点击右下角的保存并应用。
7) 配置 SNMP 外发插件
点击“SNMP 外发插件” (老版本为 snmpout)的“SNMP 外发插件私有属性配置”,
传输协议默认选用 UDP,端口号(一般默认 162),SNMP 协议通讯字符串默认为 public,根据
现场环境配置,过滤器选择 allow,更改 IP 为第三方日志服务器 IP,点击右下角保存并应用。
8) 测试 SNMP 外发
产生新的审计日志,在日志管理服务器上用 SNMP 接收工具接收审计设备发送过来的
SNMP 的审计日志信息,如下图所示